Ужесточение закона о персональных данных | Студия Продакшн

Ужесточение закона о персональных данных

152-ФЗ Владельцы веб-ресурсов, так или иначе, занимаются обработкой персональных данных своих пользователей. В том числе касается сбора адресов электронной почты для рассылки различного рода уведомлений.

Сейчас регламентируется этот вопрос статьей 13.11, но в соответствующий закон были внесены поправки, которые вступят в силу уже 1 июля текущего года. Согласно действующей статье ее нарушение грозит юридическим лицам штрафом в размере 10 тысяч рублей. После указанной даты количество нарушений возрастет до семи, а размер общего штрафа может составить максимум 295 тысяч рублей.

При этом в законе прописаны наиболее распространенные нарушения в данной области, которые были выявлены Роскомнадзором за прошедшие пять лет. По словам экспертов по персональным данным, ужесточение закона возможно связано с аналогичной практикой в странах Евросоюза.

Так, отсутствие ссылки на соглашение на обработку персональных данных в форме обратной связи повлечет за собой наложение штрафа на компанию в размере 50 тысяч рублей. Не предусмотрена политика конфиденциальности? Тогда индивидуальный предприниматель заплатит 10 тысяч рублей, а юр. лицо в три раза больше.

 

Кому не удастся избежать штрафных санкций?

Наказывать будут всех операторов персональных данных. Под этим понятием подразумевается любое физ. лицо, индивидуальный предприниматель или компания, которые собирают адреса электронной почты для рассылки или обрабатывают полученную информацию иным образом. К операторам также относятся все государственные и муниципальные органы.

 

Что подразумевается под персональными данными?

Персональные – личные данные о человеке, которые позволяют его опознать. В законе не предусмотрен конкретный список таких данных, однако в целом все понятно. Например, логин практически во всех случаях не дает представления о его владельце, но электронный почтовый адрес, может открыть кое-какую информацию. Другими словами, персональными считаются те сведения, которые прямо либо косвенно относятся к определенному либо определяемому субъекту.

 

Наиболее часто запрашиваемые данные пользователей

Оператором персональных данных является любой владелец сайта или сайтов, независимо от того, как используется полученная им информация от пользователей. Это касается как нескольких одновременно используемых пунктов из списка, так и одного типа данных:

  • адрес проживания;
  • адрес электронной почты;
  • номер стационарного, мобильного телефона;
  • ФИО (как полностью, так и частично);
  • фото;
  • дата рождения;
  • гиперссылки на профили в социальных сетях, сайт, блог и так далее.

Несмотря на туманность трактовки понятия персональных данных, Роскомнадзор и суды более чем конкретны в своих действиях признавая то, что к ним относятся в том числе cookie, местоположение пользователя (даже если не указаны ФИО), а также информация об IP-адресе.

Таким образом, сбор личных данных пользователей в любой форме считается обработкой таковых. Даже если эта информация будет удалена через несколько минут, рассчитывать на другую позицию надзорного ведомства не стоит. В соответствующем законе (152-ФЗ) обработкой персональных сведений признаны любые операции с таковыми как автоматизированным, так и другим способом:

  • сбор;
  • передача;
  • систематизация;
  • накопление;
  • обновление, корректировка;
  • запись;
  • хранение,
  • извлечение;
  • удаление, блокировка;
  • использование.

 

 

Как избежать штрафов?

Не стоит сразу избавляться от своего сайта, чтобы избежать всех вышеперечисленных проблем. Достаточно правильно организовать его работу в соответствии с новыми правилами. А именно:

  1. Ресурс и непосредственно база таких данных должны располагаться только в Российской Федерации.  Эти требования были прописаны в законе 242-ФЗ, вступившем в силу в 2015-ом. В данном случае зарубежные компании с юридическим лицом в РФ либо без него – не являются исключением. Местные организации, работающие с зарубежными провайдерами, дата-центрами и платформами, тоже попадают под регламент указанного закона. Более детально разобраться в этом вопросе помогут в Минкомсвязи или самом Роскомнадзоре.
  2. Непосредственно под формой, предполагающей любой вид сбора персональной информации, должно быть размещено уведомление для пользователей. Суть текста заключается в предупреждении человека о том, что после совершения какого-то действия (нажатия кнопки – например), он соглашается с обработкой введенных им сведений. Также должна стоять гиперссылка на пользовательское соглашение или другой подобный документ, размещенный на отдельной веб-странице. В текст договора необходимо включить:

 

  • ФИО или наименование оператора с указанием адреса, который получает согласие лица на обработку персональных данных;
  • с какой целью обрабатывается полученная информация;
  • список определенных персональных данных, которые будут обрабатываться;
  • ФИО или название компании с указанием адреса, непосредственно занимающейся обработкой полученных данных;
  • перечень действий с данными и способы их обработки;
  • срок действия соглашения, способ его отзыва.

 

  1. На интернет-ресурсе следует разместить ссылку на политику организации относительно обработки личных данных – она должна быть общедоступна.
  2. Нужно уведомлять новых пользователей о сборе метаданных для функционирования веб-сайта.
  3. Подать заявку в Роскомнадзор на внесение компании в реестр операторов персональных данных (можно сделать онлайн, на официальном сайте ведомства).

 

Что касается последнего пункта, то в нем нет необходимости в следующих случаях:

  • если обрабатываются только данные сотрудников организации и исключительно в рамках трудового законодательства (без передачи этой информации банкам);
  • обработка данных осуществляется без их передачи третьим лицам, и на основе заключенного с каждым сотрудником/клиентом договоре;
  • обработка персональных данных осуществляется исключительно на бумаге.

Более подробная информация об этом содержится в самом законе в статье 22.

 

Что делать юридическим лицам?

Вышеописанные требования применимы ко всем владельцам веб-ресурсов, независимо от их формы деятельности. Но для юридических лиц предусмотрен более широкий список правил. Компании должны:

  1. Назначить ответственных лиц, которые будет заниматься разработкой внутренних документов и защитой полученных персональных данных.
  2. Регулировать взаимодействие с государственными органами, физ. лицами и контрагентами:
  • подписание обязательства о неразглашении персональных данных со всеми сотрудниками компании;
  • подписание соглашения с физ. лицами на обработку их данных и включение этого пункта во все заключаемые договоры;
  • если данные будут передаваться третьей стороне (рекламному агентству – например) нужно подписать соответствующий документ – поручение;
  • предоставлять исчерпывающую информацию физ. лицам по вопросам обработки предоставленных ими персональных данных.

 

  1. Полученные данные должны быть надежно защищены программными и другими мерами (надежными антивирусными системами, ограничением доступа и так далее). Более подробно эти методы описаны в приказе ФСТЭК 21, который наряду с Роскомнадзором и ФСБ имеет право проводить проверку ресурса на предмет соответствия действующих требований. 

 

Выполнение всех указанных правил позволит избежать штрафов и другой формы наказания (например, блокировки сайта). Все эти требования выполнимы, а на их реализацию еще есть время до начала следующего месяца.

 

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *